Hacking
Storm-2755: AiTM που αρπάζει μισθούς μέσω Microsoft 365
Το Storm-2755 εκμεταλλεύεται AiTM και κλεμμένα session tokens για να αναδρομολογεί μισθούς σε επιτιθέμενους, παρακάμπτοντας MFA.
Μια νέα καμπάνια κυβερνοεπιθέσεων, που παρακολουθεί η Microsoft ως Storm-2755, έχει ως στόχο την υποκλοπή μισθών εργαζομένων στον Καναδά, αξιοποιώντας έναν εξεζητημένο τύπο επίθεσης γνωστό ως adversary-in-the-middle (AiTM). Οι δράστες δεν περιορίζονται σε στενό spear‑phishing: επενδύουν σε malvertising και SEO poisoning για να τραβήξουν ευρύ κοινό και να παραπλανήσουν χρήστες ώστε να εισάγουν τα διαπιστευτήριά τους σε ψεύτικες σελίδες σύνδεσης του Microsoft 365. Το αποτέλεσμα είναι οικονομική απώλεια τόσο για τους εργαζόμενους όσο και για τις εταιρείες τους, καθώς οι πληρωμές δρομολογούνται σε λογαριασμούς που ελέγχονται από τους επιτιθέμενους.
Πώς δουλεύει η απάτη με τις μισθοδοσίες
Ο πυρήνας της επίθεσης βασίζεται σε ζωντανή υποκλοπή συνεδριών: όταν ένα θύμα προσπαθεί να συνδεθεί στο Microsoft 365 μέσω μιας μολυσμένης σελίδας, οι επιτιθέμενοι παρεμβάλλονται στην επικοινωνία, προωθώντας τα αιτήματα προς τον πραγματικό πάροχο και ταυτόχρονα καταγράφοντας κωδικούς, cookies και tokens. Με τα κλεμμένα session tokens μπορούν να αποκτήσουν πλήρη πρόσβαση σε υπηρεσίες όπως Outlook, SharePoint και HR πλατφόρμες, χωρίς να χρειαστεί να ξαναδεί ο χρήστης το αίτημα για πολλαπλή ταυτοποίηση (MFA).
Σε πολλές περιπτώσεις οι επιτιθέμενοι δεν κάνουν απλώς μια στιγμιαία σύνδεση: ανανεώνουν τα κλεμμένα tokens περιοδικά, διατηρώντας «μη‑διαδραστικές» συνδέσεις στην εφαρμογή OfficeHome περίπου κάθε 30 λεπτά. Αυτή η τακτική επιτρέπει μακροχρόνια παραμονή εντός του λογαριασμού, μέχρι το token να λήξει, να ακυρωθεί ή να αλλάξει το password. Σε κάποιες περιπτώσεις, οι δράστες προχωρούν και στην αλλαγή κωδικών ή ρυθμίσεων MFA για να αποκτήσουν μόνιμη πρόσβαση.
SEO poisoning και malvertising: πώς έφτασαν τα θύματα στις ψεύτικες σελίδες
Αντί να στοχεύουν ένα συγκεκριμένο κλάδο, οι επιτιθέμενοι του Storm-2755 χρησιμοποιούν τεχνικές μαζικής διάθεσης όπως το SEO poisoning και το malvertising για κοινές αναζητήσεις όπως «Office 365» ή ακόμη και τυπογραφικά λάθη όπως «Office 265». Τα μολυσμένα αποτελέσματα εμφανίζουν μια domain—για παράδειγμα την bluegraintours[.]com—ψηλά στις αναζητήσεις και παραπέμπουν σε σελίδες που μιμούνται πιστά τη διεπαφή του Microsoft 365.
Όταν ο χρήστης εισάγει το όνομα χρήστη και τον κωδικό στη πλαστή σελίδα, ο επιτιθέμενος λειτουργεί ως proxy: προωθεί το αίτημα στη νόμιμη υπηρεσία, καταγράφει τις απαντήσεις και κλέβει τα cookies/τοκέν σε πραγματικό χρόνο. Με αυτόν τον τρόπο αποφεύγει το παραδοσιακό μπλοκάρισμα που θα ενεργοποιούσε ένα απλό αποτυχημένο login και, το σημαντικότερο, παρακάμπτει μη‑phishing‑resistant MFA.
Τεχνικές λεπτομέρειες: 50199 και ο ρόλος του Axios
Αντίγραφα καταγραφών από μολυσμένους tenants δείχνουν ένα συνεπές μοτίβο: λίγο πριν την οριστική κατάληξη στην αρπαγή του λογαριασμού καταγράφεται ένα σφάλμα sign‑in interrupt με κωδικό 50199, και το ίδιο session ID συνεχίζει υπό διαφορετικό user‑agent, συγκεκριμένα Axios 1.7.9. Αυτό υποδεικνύει token replay — δηλαδή επανάχρηση ήδη επικυρωμένων tokens— και όχι μια νέα, κανονική είσοδο.
Η χρήση ενός HTTP client όπως το Axios επιτρέπει στους δράστες να «παίζουν» τα κλεμμένα tokens πίσω στην υπηρεσία και να κάνουν μη‑διαδραστικές συνδέσεις σε τακτά διαστήματα. Καθώς τα tokens έχουν ήδη εγκριθεί, οι παραδοσιακές προκλήσεις MFA δεν ενεργοποιούνται, επιτρέποντας πρόσβαση χωρίς να ζητηθεί περαιτέρω επαλήθευση από τον πραγματικό χρήστη.
Περιήγηση στα HR συστήματα και αλλαγές στις τραπεζικές πληροφορίες
Μόλις αποκτήσουν πρόσβαση, οι επιτιθέμενοι κάνουν στοχευμένες αναζητήσεις σε εσωτερικά portal, SharePoint αρχεία και emailboxes για όρους όπως «payroll», «HR», «finance», «account» και «admin». Το επόμενο βήμα είναι να αλλάξουν τις ρυθμίσεις άμεσα—είτε στέλνοντας δελεαστικά email σε ομάδες HR με υποκρινόμενα αιτήματα για «ερώτηση σχετικά με direct deposit», είτε εισερχόμενοι απευθείας σε SaaS πλατφόρμες όπως το Workday και αλλάζοντας χειροκίνητα τα στοιχεία τραπεζικών λογαριασμών.
Σε τουλάχιστον ένα επιβεβαιωμένο περιστατικό, οι δράστες άλλαξαν επιτυχώς τα τραπεζικά στοιχεία σε Workday, με αποτέλεσμα ο μισθός του εργαζόμενου να μεταφερθεί σε λογαριασμό που ελέγχουν. Ο εργαζόμενος αντιλήφθηκε το πρόβλημα όταν δεν έλαβε την καταβολή του, δημιουργώντας άμεσα οικονομική δυσχέρεια και γραφειοκρατία για την ανάκτηση των χρημάτων.
Καλύπτοντας τα ίχνη: inbox rules και ωράριο ανανέωσης
Για να καλύψουν τη δραστηριότητα τους, οι επιτιθέμενοι δημιουργούν κανόνες εισερχομένων που μεταφέρουν emails με λέξεις‑κλειδιά όπως «direct deposit» ή «bank» σε κρυφούς φακέλους (π.χ. Conversation History), έτσι ώστε οι χρήστες να μην βλέπουν τις ειδοποιήσεις ή τις απαντήσεις από τα HR. Επιπλέον, οι δράστες έχουν διαπιστώσει ότι η ανανέωση των tokens τις πρώτες πρωινές ώρες του θύματος (γύρω στις 05:00 στην τοπική ζώνη ώρας) μειώνει την πιθανότητα κάποιος νόμιμος χρήστης να ακυρώσει την πρόσβαση.
Αυτές οι μικρές αλλά προμελετημένες λεπτομέρειες δείχνουν έναν οργανωμένο, οικονομικά‑κατευθυνόμενο φορέα που επενδύει χρόνο και δοκιμές για να μεγιστοποιήσει το κέρδος και να ελαχιστοποιήσει την ανίχνευση.
Τι μπορούν να κάνουν οι οργανισμοί σήμερα
Η άμεση αντίδραση σε περίπτωση ανάμιξης περιλαμβάνει την ακύρωση ενεργών sessions και tokens, την κατάργηση επιβλαβών inbox κανόνων, την επιβολή επαναφοράς κωδικών και MFA για τους επηρεασμένους λογαριασμούς και την αναβάθμιση σε phishing‑resistant MFA, όπως FIDO2/WebAuthn. Επιπλέον προτεινόμενα βήματα περιλαμβάνουν την εφαρμογή Conditional Access με προσαρμοστικά session lifetimes και Continuous Access Evaluation (CAE) ώστε να μειωθεί η διάρκεια ζωής και η ισχύς των κλεμμένων tokens.
Παράλληλα, οι ομάδες ασφαλείας πρέπει να παρακολουθούν για ασυνήθιστους user‑agents, όπως Axios, που προσπελαύνουν την εφαρμογή OfficeHome, και να θέσουν κανόνες SIEM για ειδοποιήσεις σε περίπτωση δημιουργίας suspicious inbox rules. Η διατήρηση logs και η δυνατότητα ταχείας ανάκλησης sessions είναι κρίσιμες για την περιορισμένη ανάκτηση των επιπτώσεων.
Προληπτικά μέτρα για εταιρείες και εργαζομένους
Η πρόληψη συνδυάζει τεχνολογικά και εκπαιδευτικά μέτρα: αποφυγή κλικ σε διαφημίσεις και ύποπτα search results, χρήση enterprise web proxies και DNS filtering για αποκλεισμό γνωστών επιβλαβών domains, χρήση ad‑blockers και endpoint protection με web isolation. Στο επίπεδο πολιτικής, οι οργανισμοί πρέπει να περιορίσουν ποιοι χρήστες μπορούν να τροποποιούν μισθολογικές ρυθμίσεις, να επιβάλουν έγκριση πολλαπλών βημάτων για αλλαγές στις πληρωμές και να διατηρούν αυστηρό audit trail για αλλαγές σε HR πλατφόρμες.
Επιπλέον, είναι ζωτικής σημασίας οι τράπεζες και τα οικονομικά τμήματα να έχουν διαδικασίες για άμεση αναφορά και πάγωμα ύποπτων εισερχόμενων μεταφορών, δεδομένου ότι η ανάκτηση ποσών που έχουν ήδη τραβηχτεί από λογαριασμό τρίτων μπορεί να αποδειχθεί δύσκολη ή ανέφικτη, ιδιαίτερα όταν οι επιτιθέμενοι χρησιμοποιούν διεθνείς λογαριασμούς.
Ελληνικό και ευρωπαϊκό πλαίσιο
Αν και η εκστρατεία που περιγράφεται από τη Microsoft φαίνεται να στοχεύει κυρίως καναδικούς χρήστες, οι τεχνικές που χρησιμοποιούνται είναι παγκόσμιες και μπορούν εύκολα να υιοθετηθούν εντός Ευρώπης και Ελλάδας. Ο GDPR δημιουργεί πρόσθετες νομικές και ρυθμιστικές υποχρεώσεις για τις εταιρείες που θα υποστούν παραβίαση δεδομένων προσωπικού χαρακτήρα, ενώ τράπεζες και υπηρεσίες πληρωμών οφείλουν να έχουν μηχανισμούς επαλήθευσης και αναφοράς απάτης.
Η ελληνική πραγματικότητα περιλαμβάνει πολλούς οργανισμούς με εξωτερικά διαχειριζόμενα HR/SaaS συστήματα. Αυτό σημαίνει ότι τόσο οι πάροχοι SaaS όσο και οι τελικοί πελάτες πρέπει να ευθυγραμμίσουν πολιτικές ασφάλειας, να εφαρμόσουν phishing‑resistant authentication και να ενισχύσουν εποπτικές διαδικασίες για αλλαγές σε κρίσιμα πεδία όπως τραπεζικά στοιχεία.
Γιατί έχει σημασία
Η υπόθεση Storm-2755 δείχνει πόσο επιθετική και κερδοσκοπική μπορεί να γίνει η εξέλιξη του social engineering όταν συνδυαστεί με τεχνικές υποκλοπής συνεδριών. Δεν πρόκειται απλά για κλοπή διαπιστευτηρίων· πρόκειται για ένα επιχειρησιακό σχέδιο που στοχεύει στην κύρια ροή αξίας ενός οργανισμού: την πληρωμή ανθρώπων. Οι οικονομικές επιπτώσεις είναι άμεσες, αλλά το κόστος σε χρόνο, εμπιστοσύνη και πιθανή νομική έκθεση μπορεί να αποδειχθεί ακόμη πιο βαρύ.
Σε επίπεδο τεχνολογίας, η μάχη μετακινείται μακριά από τη στενή προστασία των κωδικών προς την προστασία των session tokens και την υιοθέτηση passwordless, phishing‑resistant προσεγγίσεων. Οι επιχειρήσεις που αργήσουν να προσαρμοστούν θα βρουν τα συστήματά τους πιο εύκολο στόχο για τέτοιου είδους «payroll pirates».
Συμπέρασμα
Το Storm-2755 είναι ένα ξεκάθαρο παράδειγμα του πώς συνδυασμένες τεχνικές —malvertising, SEO poisoning, AiTM και token replay— μπορούν να δημιουργήσουν μια επικερδή απάτη που πλήττει την καθημερινότητα των εργαζομένων. Η απάντηση πρέπει να είναι πολυεπίπεδη: τεχνικά εργαλεία (CAE, Conditional Access, FIDO2), πρακτικές διαχείρισης κινδύνου (audit trails, περιορισμοί δικαιωμάτων) και εκπαίδευση χρηστών. Όσο πιο γρήγορα οι οργανισμοί μεταφράσουν αυτά τα μέτρα σε καθημερινές πολιτικές, τόσο πιο δύσκολο θα γίνει για επιτιθέμενους αυτού του είδους να εξαργυρώσουν τις υποκλοπές τους.
